Raccogli i log di Dell ECS

Supportato in:

Questo parser estrae i campi dai messaggi syslog DELL ECS, mappandoli all'UDM. Gestisce in modo specifico i tipi di eventi UPDATE e DELETE, estraendo le informazioni utente e IP per gli eventi di accesso/uscita. Gli altri eventi sono classificati come GENERIC_EVENT. Utilizza pattern grok per analizzare il messaggio e modificare i filtri per compilare i campi UDM, ignorando gli eventi che non corrispondono al formato previsto.

Prima di iniziare

  • Assicurati di avere un'istanza Google Security Operations.
  • Assicurati di utilizzare Windows 2016 o versioni successive o un host Linux con systemd.
  • Se il servizio è in esecuzione dietro un proxy, assicurati che le porte del firewall siano aperte.
  • Assicurati di disporre dell'accesso con privilegi a Dell ECS.

Recupera il file di autenticazione di importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione dell'importazione. Salva il file in modo sicuro sul sistema in cui verrà installato BindPlane.

Ottenere l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.
  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa BindPlane Agent

Installazione di Windows

  1. Apri il prompt dei comandi o PowerShell come amministratore.

  2. Esegui questo comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

  1. Apri un terminale con privilegi root o sudo.

  2. Esegui questo comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse di installazione aggiuntive

Configurare l'agente BindPlane per importare i syslog e inviarli a Google SecOps

  1. Accedi al file di configurazione:

    • Individua il file config.yaml. In genere si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
    • Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

  2. Modifica il file config.yaml come segue:

    receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: dell_ecs
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Sostituisci la porta e l'indirizzo IP come richiesto nella tua infrastruttura.

  4. Sostituisci <customer_id> con l'ID cliente effettivo.

  5. Aggiorna /path/to/ingestion-authentication-file.json con il percorso in cui è stato salvato il file di autenticazione nella sezione Ottenere il file di autenticazione per l'importazione di Google SecOps.

Riavvia BindPlane Agent per applicare le modifiche

  • In Linux, per riavviare BindPlane Agent, esegui il seguente comando:

    sudo systemctl restart bindplane-agent

  • In Windows, per riavviare l'agente BindPlane, puoi utilizzare la console Servizi o inserire il seguente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurare Dell ECS per inoltrare i log al server syslog

  1. Accedi al portale di gestione ECS utilizzando le credenziali amministrative.
  2. Vai a Impostazioni > Notifiche evento > Syslog.
  3. Fai clic su Nuovo server.
  4. Fornisci i seguenti dettagli:
    • Protocollo: seleziona UDP o TCP (assicurati che corrisponda al protocollo configurato sul server Syslog).
    • Destinazione: inserisci l'indirizzo IP o il nome di dominio completo (FQDN) del server Syslog.
    • Porta: inserisci il numero di porta.
    • Gravità: seleziona Informazioni come livello di gravità minimo dei log da inoltrare.
  5. Fai clic su Salva.

Tabella di mappatura UDM

Campo log Mappatura UDM Logica
data read_only_udm.metadata.description Se eventType è UPDATE, la descrizione viene estratta dal campo data utilizzando un'espressione regolare. Se eventType è DELETE, la descrizione viene estratta dal campo data utilizzando un'espressione regolare ed elaborata ulteriormente per estrarre l'ID utente.
data read_only_udm.principal.ip Se eventType è UPDATE, l'indirizzo IP viene estratto dal campo data utilizzando un'espressione regolare.
data read_only_udm.target.resource.product_object_id Se eventType è DELETE, il token URN viene estratto dal campo data utilizzando un'espressione regolare.
data read_only_udm.target.user.userid Se eventType è UPDATE, l'ID utente viene estratto dal campo data utilizzando un'espressione regolare. Se eventType è DELETE, l'ID utente viene estratto dal campo della descrizione dopo l'elaborazione iniziale del campo data.
eventType read_only_udm.metadata.event_type Se eventType è UPDATE e viene estratto un userid, il tipo di evento viene impostato su USER_LOGIN. Se eventType è DELETE e viene estratto un userid, il tipo di evento viene impostato su USER_LOGOUT. In caso contrario, il tipo di evento viene impostato su GENERIC_EVENT.
eventType read_only_udm.metadata.product_event_type Il valore viene dedotto concatenando i campi serviceType e eventType dal log non elaborato, racchiusi tra parentesi quadre e separati da " - ".
hostname read_only_udm.principal.asset.hostname Il nome host viene copiato dal campo hostname.
hostname read_only_udm.principal.hostname Il nome host viene copiato dal campo hostname.
log_type read_only_udm.metadata.log_type Il tipo di log è impostato su DELL_ECS. Il meccanismo è hardcoded su MECHANISM_UNSPECIFIED. Il timestamp dell'evento viene copiato dal campo timestamp della voce di log non elaborata. Il nome del prodotto è hardcoded su ECS. Il nome del fornitore è hardcoded su DELL. Se eventType è DELETE, il tipo di risorsa è hardcoded su CREDENTIAL.
timestamp read_only_udm.metadata.event_timestamp Il timestamp dell'evento viene preso dal campo timestamp della voce di log non elaborata.
timestamp timestamp Il timestamp viene analizzato dal campo timestamp della voce di log non elaborata.

Modifiche

2024-03-18

  • Parser appena creato.